假设单上下文主动/被动故障切换配置，ASA 连接到唯一子网上的 2911，您可以使用两个子接口和 vlan 标记来中继链路。但黑客是不要在单个 ASA 上同时激活两个子接口。在左侧的 ASA 上，假设它处于活动状态，第一个 subint 将处于活动状态，而第二个处于活动状态。发生故障切换事件后，右侧的 ASA 变为活动状态，第一个 subint 关闭，第二个 subint 启动。

理想情况下，ASA 与 2911 的 LAN 侧共享一个公共子网，以防止这种黑客攻击；L2 交换机可以位于 ASA 之间，并提供从任何 ASA 到任何 2911 的连接。

仅显示相关子接口的配置。

作为一个

接口千兆以太网0/0
 没有名字
 没有安全级别
 没有IP地址
！
接口 GigabitEthernet0/0.10
 VLAN 10
 nameif 外部 ISP1
 安全级别 0
 IP 地址 1.1.1.254 255.255.255.0
！
接口 GigabitEthernet0/0.11
 VLAN 11
 nameif 外部 ISP2
 安全级别 0
 IP 地址 2.1.1.254 255.255.255.0

ISP1 外的路由 0.0.0.0 0.0.0.0 1.1.1.1 1
ISP2 外的路由 0.0.0.0 0.0.0.0 2.1.1.2 1

2911-ISP1

接口 GigabitEthernet0/1
 描述 局域网
 没有IP地址
 双工自动
 速度自动
！
接口 GigabitEthernet0/1.10
 说明 LAN-ISP1
 封装dot1Q 10
 ip vrf 转发 vpn
 IP 地址 1.1.1.1 255.255.255.0
！
接口 GigabitEthernet0/1.11
 说明 LAN-ISP2
 封装dot1Q 11
 IP 地址 2.1.1.1 255.255.255.0
 关掉

2911-ISP2

接口 GigabitEthernet0/1
 描述 局域网
 没有IP地址
 双工自动
 速度自动
！
接口 GigabitEthernet0/1.10
 说明 LAN-ISP1
 封装dot1Q 10
 IP 地址 1.1.1.2 255.255.255.0
 关掉
！
接口 GigabitEthernet0/1.11
 说明 LAN-ISP2
 封装dot1Q 11
 IP 地址 2.1.1.2 255.255.255.0

当前的答案为您提供了一个很好的解决方案。但是，我建议不要使用单个交换机来连接所有这些设备。如果你这样做，你最终会得到一个带有单点故障的额外故障域。我在这里看到两个选项：

使用交换机堆栈来实施此建议。（消除单点故障）

将每个 2911 的链路直接连接到每个 ASA。（取决于端口利用率）

我还建议在 2911 和 ASA 设备之间启用 IGP，例如 OSPF 或 EIGRP。如果您打算使用静态路由，请确保实施适当的跟踪配置。交换机将屏蔽链路关闭，从而防止路由在 ASA 上被删除。您还可以在 2911 路由器上实施 HSRP，并将 ASA 0.0.0.0/0 指向 HSRP 地址。

您不能在 ASA 上放置 2 个默认路由

ciscoasa(config)# route Outside-ISP1 0.0.0.0 0.0.0.0 1.1.1.1
ciscoasa(config)#
ciscoasa(config)#
ciscoasa(config)# route Outside-ISP2 0.0.0.0 0.0.0.0 2.1.1.2
ERROR: Cannot add route entry, conflict with existing routes

您可以使用 1 个默认值和其他特定于其他 isp 的死记硬背